Project Spartan
Le navigateur est toujours un point faible pour la sécurité informatique. Il suffit d’analyser l’ensemble des Patch Tuesday sur les dernières années pour voir que de manière quasi-systématique des correctifs critiques touchent Internet Explorer. Avec l’arrivée prochaine de Windows 10 et du navigateur Spartan, Microsoft veut éviter de se retrouver avec la découverte d’une faille critique dès le lancement du navigateur.
D’où l’annonce hier d’ouvrir pendant 2 mois un programme de recherches de bugs, de failles dans Spartan. Il est accessible à tous à l’exception du personnel de Microsoft et de leur entourage, ainsi que des sociétés ou des résidents de pays sous sanctions américaines. Successeur d’Internet Explorer, le prochain navigateur a été réécrit complétement et donc peut théoriquement contenir des vulnérabilités accessibles. Les hackers qui sont intéressés peuvent soumettre leurs travaux directement à Microsoft. La firme de Redmond annonce qu’en fonction des découvertes les récompenses pourront aller de 500 à 15 000 dollars.
Ces montants pourraient être dépassés en fonction de la qualité et de la complexité des solutions proposées. Pour prétendre à ces montants, les hackers devront découvrir des failles actives autorisant l’exécution de code à distance ou de contournement de la sandbox. Le simple proof of concept de ces failles est primé de manière moindre. Enfin le paiement de 500 dollars est valable pour des vulnérabilités ASLR (adresse-Space Layout randomisation) trouvées dans Spartan ou le moteur de rendu EdgeHTML.
Par contre, ce programme ne devrait pas connaître une grande médiatisation sur les failles découvertes. Peut-être saura-t-on le montant global des primes versées. Il s’agit en tous cas d’une étape devenue quasi obligatoire pour inciter les experts en sécurité à travailler sur la fiabilité des logiciels. Un groupe de chercheurs a montré dans un rapport l’importance de ces programmes avec une incitation financière pour la recherche de failles Zero Day.
A lire aussi :
Dropbox lance aussi un programme de rémunération des chercheurs en sécurité
Office 365 se dote d’un programme de recherche de bug
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
